La autoridad en materia de privacidad sueca (IMY) ha sancionado a la empresa MedHelp por las vulnerabilidades que sufrían en su web. Lo que ocurrió en el caso fue que cuando los usuarios llamaban al número de atención telefónica sobre cuestiones de salud, las grabaciones de las conversaciones estaban en un servidor web sin mayor seguridad al que cualquiera podría haber tenido acceso sin la necesaria autenticación. Según las correspondientes investigaciones, este incidente de seguridad pudo haberse producido por la incorrecta configuración de un dispositivo que almacenaba estos datos conectados a la red, el cual carecía de esta protección. Así, fruto de esta vulnerabilidad se constató qué se produjeron numerosos accesos a estas grabaciones sin la correspondiente autorización.
Ante esta situación, la autoridad sueca entendió que la empresa responsable de este tratamiento de datos (MedHelp), había incumplido con su deber de adoptar las medidas técnicas y organizativas necesarias que llevaran a que este tratamiento de datos personales tuviera un nivel de seguridad adecuado y evitar así el acceso por parte de terceros. A pesar de que la sancionada fue MedHelp por su calidad de responsable de tratamiento, conviene aclarar que la brecha de seguridad se produjo en el seno de una organización tailandesa que habían subcontratado para llevar a cabo esta actividad (encargado de tratamiento), una empresa que finalmente también se descubrió que no estaba sujeta a la legislación sanitaria sueca, ni a la correspondiente confidencialidad que exige la normativa del país nórdico.
Además, la IMY también concluyó que MedHelp tampoco informó a los usuarios de las grabaciones de esas llamadas tal y como exige el artículo del RGPD, lo que lleva a que la empresa incumplió con uno de los principios fundamentales de la norma, como es el deber de transparencia.